Versioni supportate per questa funzionalità: Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus. Confronta la tua versione
L'approvazione da più parti offre una protezione contro azioni dannose nella Console di amministrazione Google. Tutte le modifiche alle impostazioni sensibili devono essere approvate da un super amministratore o da un amministratore con i privilegi per eseguire l'azione protetta e delegare i privilegi per la revisione dell'approvazione da più parti per quell'azione.
Prima di iniziare
Impostazioni di approvazione di più parti
Puoi attivare o disattivare l'approvazione da più parti per queste impostazioni della Console di amministrazione:
Impostazioni di sicurezza
- Verifica in due passaggi
- Recupero dell'account
- Programma di protezione avanzata
- Controllo sessione Google
- Verifiche dell'accesso
- Senza password
- SSO con IdP terzo
- Delega a livello di dominio
- Accesso sensibile al contesto
Accesso API alle impostazioni di sicurezza
Impostazioni calendario
- Archiviazione di terze parti in Calendar
- Condivisione del calendario
- Impostazioni generali di Calendar
Impostazioni Gruppi
Impostazioni dominio
- Aggiungi alias o dominio secondario
- Modifica del dominio principale
- Rimuovi alias o dominio secondario
Impostazioni di Google Vault
Per istruzioni su come attivare o disattivare l'approvazione da più parti, vai a Attivare o disattivare l'approvazione da più parti in questa pagina.
Nota: app e servizi possono anche accedere a determinate impostazioni della Console di amministrazione tramite le API. Le approvazioni da più parti separate proteggono le azioni sensibili eseguite tramite chiamate API pubbliche.
Approvazione da più parti nei domini dei rivenditori
Se l'approvazione da più parti è attivata nel dominio di un cliente rivenduto e un amministratore rivenditore tenta di aggiornare un'impostazione sensibile, la richiesta di approvazione viene inviata solo agli amministratori rivenduti e solo questi possono approvare, rifiutare o visualizzare la richiesta.
Assegnare privilegi amministrativi per esaminare le richieste di approvazione da più parti
I super amministratori possono concedere ad altri amministratori i privilegi necessari per esaminare e approvare le richieste di approvazione da più parti.
- Crea un ruolo amministrativo personalizzato che includa i privilegi di approvazione da più parti che vuoi concedere agli amministratori.
Suggerimento: alcune azioni della Console di amministrazione richiedono il ruolo di super amministratore, ad esempio l'attivazione o la disattivazione della verifica in due passaggi (V2P). Se l'approvazione da più parti è attivata per una di queste azioni, avrai bisogno di un secondo super amministratore per esaminare le richieste di approvazione da più parti associate. Per maggiori dettagli, vedi Impostare un utente come super amministratore. - Assegna il ruolo amministrativo personalizzato creato al passaggio 1 a uno o più amministratori.
Per informazioni dettagliate, vedi Assegnare ruoli di amministratore specifici. - Salva la configurazione del ruolo assegnata al passaggio 2.
Attivare o disattivare l'approvazione da più parti
Per questa attività, devi aver eseguito l'accesso come super amministratore.Utilizza le impostazioni di approvazione da più parti nella Console di amministrazione per attivare o disattivare la funzionalità per la tua organizzazione, per le singole impostazioni di sicurezza della Console di amministrazione e per le API pubbliche che possono accedere alle impostazioni di sicurezza.
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAutenticazioneImpostazioni di approvazione da più parti.Per questa attività, devi aver eseguito l'accesso come super amministratore.
Per attivare o disattivare l'approvazione da più parti per la tua organizzazione, fai clic su Impostazioni approvazione da più parti, seleziona o deseleziona la casella Richiedi l'approvazione da più parti per le azioni sensibili, quindi fai clic su Salva.
Nota: se disattivi l'approvazione da più parti per la tua organizzazione:
- Le richieste in attesa rimangono attive per lo stesso periodo di tempo finché non vengono approvate, rifiutate, annullate o scadono.
- Le nuove modifiche alle impostazioni che comportano azioni di amministrazione sensibili non creano richieste di approvazione da più parti, anche se l'approvazione da più parti è attivata per la singola impostazione.
Per attivare o disattivare l'approvazione da più parti per una o più impostazioni di sicurezza individuali, fai clic su Approvazione da più parti per le impostazioni di sicurezza, seleziona o deseleziona la casella associata a ogni impostazione per cui vuoi attivare o disattivare l'approvazione da più parti, quindi fai clic su Salva.
Nota: se l'approvazione da più parti è attivata per una singola impostazione, le modifiche apportate all'impostazione nella Console di amministrazione creano una richiesta di approvazione da più parti solo se l'approvazione da più parti è attivata anche per l'organizzazione.
Per attivare o disattivare l'approvazione da più parti per le API pubbliche che possono accedere alle impostazioni di sicurezza, fai clic su Approvazione da più parti per l'accesso API alle impostazioni di sicurezza, seleziona o deseleziona la casella SSO con IdP di terze parti e poi fai clic su Salva.
Per attivare o disattivare l'approvazione da più parti per le impostazioni di Calendar, fai clic su Approvazione da più parti per le impostazioni di Calendar, seleziona o deseleziona la casella associata a ogni impostazione per cui vuoi attivare o disattivare l'approvazione da più parti, quindi fai clic su Salva.
Per attivare o disattivare l'approvazione da più parti per le impostazioni dei gruppi, fai clic su Approvazione da più parti per le impostazioni dei gruppi, seleziona o deseleziona la casella associata a ogni impostazione per cui vuoi attivare o disattivare l'approvazione da più parti, quindi fai clic su Salva.
Per attivare o disattivare l'approvazione da più parti per le azioni sensibili del dominio, fai clic su Approvazione da più parti per le impostazioni di amministrazione, seleziona o deseleziona la casella API Domains e poi fai clic su Salva.
Per attivare o disattivare l'approvazione da più parti per le impostazioni di Vault, fai clic su Approvazione da più parti per le impostazioni di Vault, seleziona o deseleziona la casella Crea esportazione e poi fai clic su Salva.
Visualizzare, approvare o annullare una richiesta
Sia il richiedente che l'approvatore possono visualizzare le richieste passate o in attesa nella pagina delle approvazioni da più parti. Se fai clic su una richiesta nella scheda Richieste inviate, viene visualizzata una pagina dei dettagli. Nella pagina dei dettagli di una richiesta, i richiedenti possono annullare la richiesta, mentre gli approvatori possono approvarla o rifiutarla.
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAutenticazioneRichieste di approvazione da più parti.Per questa attività, devi aver eseguito l'accesso come super amministratore.
Puoi visualizzare le richieste che hai creato, nonché quelle di altri utenti di cui hai ottenuto l'autorizzazione a esaminare disponendo dei privilegi sia per eseguire la stessa azione della Console di amministrazione sia per esaminare le richieste di approvazione da più parti. I dettagli della richiesta includono lo stato della richiesta, il nome del richiedente, la data di creazione della richiesta, la modifica delle impostazioni richiesta e la data di scadenza della richiesta.
Per visualizzare i dettagli di una richiesta specifica, fai clic sul relativo link nella colonna Azione.
- Per il richiedente, la pagina dei dettagli include un'opzione per annullare la richiesta.
- Per l'approvatore, invece, la pagina dei dettagli include le opzioni per approvare o rifiutare la richiesta.
Fai clic su Approvazione da più parti per tornare alla pagina dell'elenco delle approvazioni.
Privilegi per le azioni sensibili della Console di amministrazione e le revisioni delle richieste di modifica
Per visualizzare le richieste di approvazione da più parti per le azioni sensibili della Console di amministrazione, devi disporre del privilegio a livello di azione elencato nella tabella riportata di seguito o del privilegio Può rivedere le approvazioni da più parti per tutte le azioni sensibili.
| Impostazione della Console di amministrazione | Ruolo o privilegio necessario per eseguire l'azione | Ruolo o privilegio necessario per esaminare una richiesta di approvazione da più parti per l'azione |
|---|---|---|
| Verifica in due passaggi | Ruolo di super amministratore | Ruolo di super amministratore |
| Recupero dell'account | Ruolo di super amministratore | Ruolo di super amministratore |
| Controllo sessione Google | Sicurezza > Controlla lettura e scrittura di impostazioni sicurezza | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni di sicurezza |
| Programma di protezione avanzata | Sicurezza > Controlla lettura e scrittura di impostazioni sicurezza | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni di sicurezza |
| Verifiche dell'accesso | Sicurezza > Controlla lettura e scrittura di impostazioni sicurezza | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni di sicurezza |
| Senza password | Sicurezza > Controlla lettura e scrittura di impostazioni sicurezza | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni di sicurezza |
| Delega a livello di dominio | Ruolo di super amministratore | Ruolo di super amministratore |
| SSO con IdP di terze parti | Sicurezza > Controlla lettura e scrittura di impostazioni sicurezza oppure Sicurezza > Controlla lettura e scrittura di impostazioni SSO in entrata | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni di sicurezza |
| Accesso sensibile al contesto | Servizi > Sicurezza dei dati > Gestione del livello di accesso | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni di sicurezza |
| API Domains | Privilegi delle API amministrative > Gestione dei domini | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili > Esamina le azioni del dominio |
| Condivisione del calendario | Calendar > Tutte le impostazioni > Gestisci impostazioni | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni del calendario |
| Impostazioni generali di Calendar | Calendar > Tutte le impostazioni > Gestisci impostazioni | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni del calendario |
| Impostazioni di archiviazione di terze parti in Calendar | Archiviazione di terze parti > Gestisci le impostazioni di archiviazione di terze parti | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni del calendario |
| Condivisione di Gruppi | Groups for Business > Impostazioni servizio Gruppi | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili oppure Approvazione da più parti > Esamina le azioni dei gruppi |
| (Vault) Crea esportazione | Ruolo di super amministratore | Approvazione da più parti > Può rivedere le approvazioni da più parti per tutte le azioni sensibili > Esamina le azioni di Vault |
Ulteriori informazioni sui ruoli e sui privilegi di approvazione da più parti
- Solo i super amministratori possono concedere ad altri amministratori i privilegi di approvazione da più parti e aggiornare le impostazioni di approvazione da più parti nella Console di amministrazione.
- Gli amministratori che hanno inviato una o più richieste di approvazione possono visualizzarle nella Console di amministrazione.
- I super amministratori possono visualizzare i privilegi associati al ruolo amministrativo Approvazione da più parti.
- Per esaminare le richieste inviate da altri amministratori, un amministratore deve disporre sia del privilegio di esaminare le richieste di approvazione da più parti sia del privilegio di modificare le impostazioni in fase di revisione.
Come funziona l'approvazione da più parti
In questo esempio, l'approvazione da più parti è una misura di salvaguardia per la modifica delle impostazioni della V2P, che è un'azione sensibile.
- Un super amministratore di Workspace accede a SicurezzaAutenticazioneImpostazioni della verifica in due passaggi e tenta di impostare su On o Off l'applicazione forzata della funzionalità.
- Una casella informa il super amministratore che questa azione richiede l'approvazione di un altro amministratore. Il richiedente ha la facoltà di inserire un messaggio esplicativo prima di inviare la richiesta di approvazione.
Nota: se è già presente una richiesta in attesa di approvazione per la modifica di un'impostazione, qualsiasi nuova richiesta verrà temporaneamente bloccata finché la richiesta in attesa non sarà stata evasa. L'amministratore con richiesta bloccata può visualizzare la richiesta in conflitto. - Il super amministratore richiedente riceve un'email di conferma dell'invio della sua richiesta di approvazione.
L'amministratore con ruolo di approvatore riceve una richiesta di approvazione via email e apre un link che rimanda alla pagina Approvazione da più parti nella Console di amministrazione, che mostra i dettagli relativi a:
- Chi sta richiedendo la modifica
- L'impostazione corrente (prima della modifica) e l'impostazione proposta (dopo la modifica)
- Opzioni per approvare o rifiutare la richiesta
Nota: se l'assegnazione dei ruoli basata sui gruppi è il modo in cui un amministratore ottiene il privilegio di eseguire un'azione sensibile o rivedere le richieste di approvazione da più parti, non riceverà richieste di revisione via email. Gli amministratori possono accedere alla pagina Approvazione da più parti, in cui sono elencate tutte le richieste che sono autorizzati a esaminare.
L'amministratore con ruolo di approvatore esamina i dettagli della richiesta, quindi decide se approvarla o rifiutarla.
- Se la richiesta viene approvata, la modifica delle impostazioni della V2P viene eseguita senza che sia necessaria alcuna ulteriore azione da parte dell'amministratore che ne ha fatto richiesta.
- Se l'amministratore con ruolo di approvatore non intraprende alcuna azione, la richiesta scade dopo 3 giorni.
Il richiedente originale riceve un'email quando la richiesta viene approvata o rifiutata oppure se è scaduta senza che sia stato intrapreso alcun intervento.